AWS - VPC & Networking Basic Information
Networking en AWS en Resumen
Un VPC contiene un CIDR de red como 10.0.0.0/16 (con su tabla de enrutamiento y ACL de red).
Esta red de VPC se divide en subredes, por lo que una subred está directamente relacionada con el VPC, la tabla de enrutamiento y la ACL de red.
Luego, las Interfaces de red adjuntas a los servicios (como instancias EC2) están conectadas a las subredes con grupo(s) de seguridad.
Por lo tanto, un grupo de seguridad limitará los puertos expuestos de las interfaces de red que lo utilizan, independientemente de la subred. Y una ACL de red limitará los puertos expuestos a toda la red.
Además, para acceder a Internet, hay algunas configuraciones interesantes para verificar:
Una subred puede asignar automáticamente direcciones IPv4 públicas
Una instancia creada en la red que asigna automáticamente direcciones IPv4 puede obtener una
Se necesita un gateway a Internet para estar adjunto al VPC
También se pueden utilizar gateways de salida solo para Internet
También se puede tener un gateway NAT en una subred privada para poder conectarse a servicios externos desde esa subred privada, pero no es posible alcanzarlos desde el exterior.
El gateway NAT puede ser público (acceso a Internet) o privado (acceso a otros VPC)
VPC
Amazon Virtual Private Cloud (Amazon VPC) te permite lanzar recursos de AWS en una red virtual que has definido. Esta red virtual tendrá varias subredes, Gateways a Internet para acceder a Internet, ACLs, Grupos de seguridad, IPs...
Subredes
Las subredes ayudan a hacer cumplir un mayor nivel de seguridad. La agrupación lógica de recursos similares también te ayuda a mantener una facilidad de gestión en toda tu infraestructura.
Los CIDR válidos van desde una máscara de red /16 hasta una máscara de red /28.
Una subred no puede estar en diferentes zonas de disponibilidad al mismo tiempo.
AWS reserva las tres primeras direcciones IP de host de cada subred para uso interno de AWS: la primera dirección de host utilizada es para el enrutador de VPC. La segunda dirección se reserva para DNS de AWS y la tercera dirección se reserva para uso futuro.
Se llaman subredes públicas a aquellas que tienen acceso directo a Internet, mientras que las subredes privadas no lo tienen.
Tablas de Enrutamiento
Las tablas de enrutamiento determinan el enrutamiento de tráfico para una subred dentro de un VPC. Determinan qué tráfico de red se envía a Internet o a una conexión VPN. Por lo general, encontrarás acceso a:
VPC local
NAT
Gateways a Internet / Gateways de salida solo para Internet (necesarios para dar acceso a Internet a un VPC).
Para hacer pública una subred, necesitas crear y adjuntar un gateway a Internet a tu VPC.
Puntos de conexión de VPC (para acceder a S3 desde redes privadas)
En las siguientes imágenes puedes verificar las diferencias en una red pública predeterminada y una privada:
ACLs
Listas de Control de Acceso de Red (ACLs): Las ACL de red son reglas de firewall que controlan el tráfico de red entrante y saliente a una subred. Se pueden utilizar para permitir o denegar tráfico a direcciones IP o rangos específicos.
Es más frecuente permitir/denegar acceso usando grupos de seguridad, pero esta es la única forma de cortar por completo las conexiones inversas establecidas. Una regla modificada en un grupo de seguridad no detiene las conexiones ya establecidas.
Sin embargo, esto se aplica a toda la subred, así que ten cuidado al prohibir cosas porque la funcionalidad necesaria podría verse afectada.
Grupos de Seguridad
Los grupos de seguridad son un firewall virtual que controla el tráfico de red entrante y saliente a las instancias en una VPC. Relación de 1 SG a M instancias (generalmente de 1 a 1). Normalmente se utiliza para abrir puertos peligrosos en las instancias, como el puerto 22 por ejemplo:
Direcciones IP Elásticas
Una dirección IP elástica es una dirección IPv4 estática diseñada para la informática en la nube dinámica. Una dirección IP elástica se asigna a tu cuenta de AWS y es tuya hasta que la liberes. Al utilizar una dirección IP elástica, puedes enmascarar la falla de una instancia o software al remapear rápidamente la dirección a otra instancia en tu cuenta.
Conexión entre subredes
Por defecto, todas las subredes tienen la asignación automática de direcciones IP públicas desactivada pero se puede activar.
Una ruta local dentro de una tabla de rutas permite la comunicación entre las subredes de la VPC.
Si estás conectando una subred con una subred diferente no puedes acceder a las subredes conectadas con la otra subred, necesitas crear una conexión con ellas directamente. Esto también se aplica a las pasarelas de internet. No puedes pasar a través de una conexión de subred para acceder a internet, necesitas asignar la pasarela de internet a tu subred.
Emparejamiento de VPC
El emparejamiento de VPC te permite conectar dos o más VPC juntas, utilizando IPV4 o IPV6, como si fueran parte de la misma red.
Una vez que se establece la conectividad entre pares, los recursos en una VPC pueden acceder a los recursos en la otra. La conectividad entre las VPC se implementa a través de la infraestructura de red existente de AWS, por lo que es altamente disponible sin cuellos de botella de ancho de banda. Como las conexiones emparejadas operan como si fueran parte de la misma red, existen restricciones en cuanto a los rangos de bloques CIDR que se pueden utilizar. Si tienes rangos CIDR superpuestos o duplicados para tus VPC, entonces no podrás emparejar las VPC. Cada VPC de AWS solo se comunicará con su par. Por ejemplo, si tienes una conexión de emparejamiento entre VPC 1 y VPC 2, y otra conexión entre VPC 2 y VPC 3 como se muestra, entonces VPC 1 y 2 podrían comunicarse directamente, al igual que VPC 2 y VPC 3, sin embargo, VPC 1 y VPC 3 no podrían. No puedes enrutar a través de una VPC para llegar a otra.
Registros de Flujo de VPC
Dentro de tu VPC, podrías tener cientos o incluso miles de recursos que se comunican entre diferentes subredes, tanto públicas como privadas, y también entre diferentes VPC a través de conexiones de emparejamiento de VPC. Los registros de flujo de VPC te permiten capturar información de tráfico IP que fluye entre las interfaces de red de tus recursos dentro de tu VPC.
A diferencia de los registros de acceso de S3 y los registros de acceso de CloudFront, los datos de registro generados por los registros de flujo de VPC no se almacenan en S3. En su lugar, los datos de registro capturados se envían a CloudWatch logs.
Limitaciones:
Si estás ejecutando una conexión emparejada de VPC, solo podrás ver los registros de flujo de las VPC emparejadas que estén dentro de la misma cuenta.
Si todavía estás ejecutando recursos dentro del entorno EC2-Classic, lamentablemente no podrás recuperar información de sus interfaces.
Una vez que se haya creado un Registro de Flujo de VPC, no se puede modificar. Para modificar la configuración del Registro de Flujo de VPC, debes eliminarlo y luego crear uno nuevo.
El siguiente tráfico no es monitoreado ni capturado por los registros. Tráfico DHCP dentro de la VPC, tráfico desde las instancias destinado al Servidor DNS de Amazon.
Cualquier tráfico destinado a la dirección IP del enrutador predeterminado de la VPC y tráfico desde y hacia las siguientes direcciones, 169.254.169.254 que se utiliza para recopilar metadatos de instancia, y 169.254.169.123 que se utiliza para el Servicio de Sincronización de Tiempo de Amazon.
Tráfico relacionado con una licencia de activación de Windows de Amazon desde una instancia de Windows.
Tráfico entre una interfaz de equilibrador de carga de red y una interfaz de red de punto final.
Para cada interfaz de red que publique datos en el grupo de registros de CloudWatch, se utilizará un flujo de registro diferente. Y dentro de cada uno de estos flujos, habrá datos de eventos de flujo de registro que muestran el contenido de las entradas de registro. Cada uno de estos registros captura datos durante una ventana de aproximadamente 10 a 15 minutos.
VPN
Componentes Básicos de VPN de AWS
Puerta de enlace del cliente:
Una Puerta de enlace del cliente es un recurso que creas en AWS para representar tu lado de una conexión VPN.
Es esencialmente un dispositivo físico o aplicación de software en tu lado de la conexión VPN de sitio a sitio.
Proporcionas información de enrutamiento y la dirección IP pública de tu dispositivo de red (como un enrutador o un firewall) a AWS para crear una Puerta de enlace del cliente.
Sirve como punto de referencia para configurar la conexión VPN y no incurre en cargos adicionales.
Puerta de enlace privada virtual:
Una Puerta de enlace privada virtual (VPG) es el concentrador VPN en el lado de Amazon de la conexión VPN de sitio a sitio.
Está adjunta a tu VPC y sirve como el objetivo para tu conexión VPN.
VPG es el punto final del lado de AWS para la conexión VPN.
Maneja la comunicación segura entre tu VPC y tu red local.
Conexión VPN de sitio a sitio:
Una conexión VPN de sitio a sitio conecta tu red local a una VPC a través de un túnel VPN IPsec seguro.
Este tipo de conexión requiere una Puerta de enlace del cliente y una Puerta de enlace privada virtual.
Se utiliza para una comunicación segura, estable y consistente entre tu centro de datos o red y tu entorno de AWS.
Se utiliza típicamente para conexiones regulares y a largo plazo y se factura en función de la cantidad de datos transferidos a través de la conexión.
Punto de conexión VPN de cliente:
Un punto de conexión VPN de cliente es un recurso que creas en AWS para habilitar y gestionar sesiones VPN de cliente.
Se utiliza para permitir que dispositivos individuales (como computadoras portátiles, teléfonos inteligentes, etc.) se conecten de forma segura a los recursos de AWS o a tu red local.
A diferencia de la VPN de sitio a sitio, está diseñada para clientes individuales en lugar de conectar redes enteras.
Con la VPN de cliente, cada dispositivo cliente utiliza un software cliente VPN para establecer una conexión segura.
VPN de Sitio a Sitio
Conecta tu red local con tu VPC.
Conexión VPN: Una conexión segura entre tu equipo local y tus VPC.
Túnel VPN: Un enlace cifrado por donde los datos pueden pasar desde la red del cliente hacia o desde AWS.
Cada conexión VPN incluye dos túneles VPN que puedes usar simultáneamente para alta disponibilidad.
Puerta de enlace del cliente: Un recurso de AWS que proporciona información a AWS sobre tu dispositivo de puerta de enlace del cliente.
Dispositivo de puerta de enlace del cliente: Un dispositivo físico o aplicación de software en tu lado de la conexión VPN de sitio a sitio.
Puerta de enlace privada virtual: El concentrador VPN en el lado de Amazon de la conexión VPN de sitio a sitio. Utilizas una puerta de enlace privada virtual o un gateway de tránsito como la puerta de enlace para el lado de Amazon de la conexión VPN de sitio a sitio.
Gateway de tránsito: Un concentrador de tránsito que se puede utilizar para interconectar tus VPC y redes locales. Utilizas un gateway de tránsito o una puerta de enlace privada virtual como la puerta de enlace para el lado de Amazon de la conexión VPN de sitio a sitio.
Limitaciones
El tráfico IPv6 no es compatible para las conexiones VPN en una puerta de enlace privada virtual.
Una conexión VPN de AWS no admite el descubrimiento de MTU de ruta.
Además, tenga en cuenta lo siguiente al utilizar VPN de sitio a sitio.
VPN de cliente
Conéctese desde su máquina a su VPC
Conceptos
Punto de conexión de VPN de cliente: El recurso que crea y configura para habilitar y gestionar sesiones de VPN de cliente. Es el recurso donde se terminan todas las sesiones de VPN de cliente.
Red de destino: Una red de destino es la red que se asocia con un punto de conexión de VPN de cliente. Una subred de una VPC es una red de destino. Asociar una subred con un punto de conexión de VPN de cliente le permite establecer sesiones VPN. Puede asociar varias subredes con un punto de conexión de VPN de cliente para alta disponibilidad. Todas las subredes deben ser de la misma VPC. Cada subred debe pertenecer a una zona de disponibilidad diferente.
Ruta: Cada punto de conexión de VPN de cliente tiene una tabla de rutas que describe las rutas de red de destino disponibles. Cada ruta en la tabla de rutas especifica el camino para el tráfico hacia recursos o redes específicas.
Reglas de autorización: Una regla de autorización restringe a los usuarios que pueden acceder a una red. Para una red especificada, configura el grupo de Active Directory o proveedor de identidad (IdP) que tiene acceso permitido. Solo los usuarios que pertenecen a este grupo pueden acceder a la red especificada. De forma predeterminada, no hay reglas de autorización y debe configurar reglas de autorización para permitir que los usuarios accedan a recursos y redes.
Cliente: El usuario final que se conecta al punto de conexión de VPN de cliente para establecer una sesión de VPN. Los usuarios finales deben descargar un cliente OpenVPN y usar el archivo de configuración de VPN de cliente que creó para establecer una sesión de VPN.
Rango CIDR de cliente: Un rango de direcciones IP desde el cual asignar direcciones IP de cliente. A cada conexión al punto de conexión de VPN de cliente se le asigna una dirección IP única del rango CIDR de cliente. Usted elige el rango CIDR de cliente, por ejemplo,
10.2.0.0/16.Puertos de VPN de cliente: AWS Client VPN admite los puertos 443 y 1194 tanto para TCP como para UDP. El predeterminado es el puerto 443.
Interfaces de red de VPN de cliente: Cuando asocia una subred con su punto de conexión de VPN de cliente, creamos interfaces de red de VPN de cliente en esa subred. El tráfico que se envía a la VPC desde el punto de conexión de VPN de cliente se envía a través de una interfaz de red de VPN de cliente. Luego se aplica la traducción de direcciones de red de origen (SNAT), donde la dirección IP de origen del rango CIDR de cliente se traduce a la dirección IP de la interfaz de red de VPN de cliente.
Registro de conexiones: Puede habilitar el registro de conexiones para su punto de conexión de VPN de cliente para registrar eventos de conexión. Puede utilizar esta información para realizar análisis forenses, analizar cómo se está utilizando su punto de conexión de VPN de cliente o solucionar problemas de conexión.
Portal de autoservicio: Puede habilitar un portal de autoservicio para su punto de conexión de VPN de cliente. Los clientes pueden iniciar sesión en el portal basado en web utilizando sus credenciales y descargar la última versión del archivo de configuración del punto de conexión de VPN de cliente, o la última versión del cliente proporcionado por AWS.
Limitaciones
Los rangos CIDR de cliente no pueden superponerse con el CIDR local de la VPC en la que se encuentra la subred asociada, o con cualquier ruta agregada manualmente a la tabla de rutas del punto de conexión de VPN de cliente.
Los rangos CIDR de cliente deben tener un tamaño de bloque de al menos /22 y no deben ser mayores que /12.
Una parte de las direcciones en el rango CIDR de cliente se utilizan para soportar el modelo de disponibilidad del punto de conexión de VPN de cliente, y no pueden asignarse a los clientes. Por lo tanto, recomendamos que asigne un bloque CIDR que contenga el doble de direcciones IP que se requieren para habilitar el número máximo de conexiones simultáneas que planea admitir en el punto de conexión de VPN de cliente.
El rango CIDR de cliente no se puede cambiar después de crear el punto de conexión de VPN de cliente.
Las subredes asociadas con un punto de conexión de VPN de cliente deben estar en la misma VPC.
No puede asociar múltiples subredes de la misma Zona de Disponibilidad con un punto de conexión de VPN de cliente.
Un punto de conexión de VPN de cliente no admite asociaciones de subred en una VPC de tenencia dedicada.
VPN de cliente admite solo tráfico IPv4.
VPN de cliente no es compatible con el estándar Federal de Procesamiento de Información (FIPS).
Si la autenticación de múltiples factores (MFA) está deshabilitada para su Active Directory, la contraseña de usuario no puede estar en el siguiente formato.
El portal de autoservicio no está disponible para clientes que se autentican mediante autenticación mutua.
Última actualización
